Seite 1 von 1
.forward ?
Verfasst: 22.12.2005, 10:53
von Tifflor
Hallo zusammen
seit gestern nachmittag findet sich in meinem webserver root (ein gehostetes system ohne konsolenzugriff) eine datei namens
.forward (zum glueck ohne inhalt) die ICH da sicher nicht hochgeladen habe...wofuer kann die sein und woher kommt die ? koennte die was mit den hackversuchen (anderer thread etwas weiter unten hier im form) zu tun haben ?
danke
Verfasst: 22.12.2005, 11:00
von zxmbs33
normalerweise ist das eine Datei, in der man Email-Weiterleitungen eintragen kann. sollte also ungefährlich sein.
.forward ?
Verfasst: 22.12.2005, 11:02
von Pompom
Sollten sich im File .forward Mailadressen befinden, handelt es sich um eine Datei, mit deren Hilfe Mails forwarded werden.
.forward ?
Verfasst: 22.12.2005, 11:03
von Pompom
He, war ich wohl zu langsam...
.forward ?
Verfasst: 22.12.2005, 11:07
von Tifflor
danke,
wofuer die datei ist habe ich auch inzwischen finden koennen, nur bin ich mir a) sicher dass diese datei gestern noch NICHT auf meinem server war b) brauche ich sie ja eigentlich auch nicht? (oder ist die doch standardmaessig drauf und wenn leer dann auch unwichtig)
c) heisst es dass unter gewissen sendmail versionen es auch mit hilfe des zugriffs auf diese datei moeglich ist sich die passwortdatei umzuleiten und d) beunruhigt mich das ganze halt in bezug auf die php hackversuche auf meinen server die letzten tage durchgehenderweise (siehe thread weiter unten)
.forward ?
Verfasst: 22.12.2005, 11:26
von Pompom
Mal eine kurze Anleitung, wo man nachsehen kann, ob was unrechtmässiges läuft.
- laufen Prozesse, die man nicht kennt/nicht zuordnen kann ?
ps -fax
- gibt es Verzeichnisse in /tmp /var/tmp, die man nicht kennt bzw. die mit . oder ähnlichem anfangen ?
Beliebt sind hier z.B. das Verzeichnis ... oder auch .net
ll -a
- suche nach Rootkits, z.B. mit chkrootkit
Infos:
https://www.linuxsecure.de/index.php?action=46
- schau in die Verzeichnisse
/etc
/bin
/sbin
/usr/bin
/usr/sbin
auf das Änderungsdatum der Dateien(ll -t), ob hier etwas auffällig ist.
.forward ?
Verfasst: 22.12.2005, 11:31
von Tifflor
das ist alles nur sehr schwierig bei einem gehosteten system (nur web) auf das man ja keinerlei root zugriff hat...
.forward ?
Verfasst: 22.12.2005, 11:36
von Pompom
Dann wird dein Provider schon dafür sorge tragen, dass die Hacker (hoffentlich) abprallen.
Du kannst dann nur die Verzeichnisse durchsehen, ob irgendwo Dateien auftauchen (auch HTML !) die du nicht kennst bzw. die ein Datum haben, an dem du nichts gemacht hast.
Beobachte, falls du die Daten einsehen kannst, die Trafficdaten, ob dort irgendwas ausserhalb der Norm passiert.
.forward ?
Verfasst: 22.12.2005, 11:49
von Jojo
Bin zwar kein Experte, aber Dateien mit einem Punkt davor sind normalerweise die versteckten Dateien? Lässt du dir die vielleicht jetzt neuerdings anzeigen?
